Re: cgi iptables et droits Unix

In article <pan.2008.04.06.16.12.47.840355@imaginet.fr>,
Emmanuel Florac  <wazoox@free.fr> wrote:
>Le Sun, 06 Apr 2008 15:33:56 +0000, Marc Espie a écrit :


>> Cote securite, webmin n'est pas la panacee... c'est le genre de truc
>> qu'il vaut mieux n'installer QUE si on est sur a 200% que seul root
>> va pouvoir avoir acces au bout de serveur web concerne.

>Oui mais entre un truc maintenu et utilisé par des milliers de gens
>(webmin) et un truc fait maison, il n'y a quand même pas photo côté
>sécurité :)

Si, justement, il y a photo.

webmin n'a pas la securite, ou au moins tres loin derriere, dans son
cahier des charges, et en plus il essaie de faire un peu tout...
la derniere fois que j'avais regarde webmin, c'etait un truc pas trop
auditable, et pas vraiment corrigeable. La seule facon d'en sortir
quelque chose de decent, c'etait de tout jeter et recommencer.

C'est un travers frequent de pas mal de projets: s'il y a suffisamment
d'existant, les gens vont continuer a faire du Mc Gyver avec, plutot
que de tout reprendre sur des bases plus saines.


Si tu te contentes d'un truc qui en fait moins (par exemple, du IPFilter)
et que tu utilises des outils un peu corrects (par exemple, ca serait pas
deraisonnable de faire du HTML::Mason ou du Catalyst), tu dois assez
facilement pouvoir obtenir un truc qui sera plus petit, et nettement plus
facile a securiser et a faire marcher correctement que webmin.